[发明专利]一种安全保护的方法、装置及接入网设备

说明书

本申请的实施例提供一种安全保护的方法、装置及接入网设备，涉及通信技术领域，用以解决现有技术中无法实现对用户面安全保护的按需开启的问题。该方法包括：第一接入网设备接收来自第二接入网设备的第一消息，第一消息携带用户面安全策略，用户面安全策略用于指示：第一接入网设备待开启的用户面安全保护类型，然后若第一接入网设备能够识别待开启的用户面安全保护类型，则第一接入网设备根据用户面安全策略确定用户面安全算法和用户面安全算法对应的用户面密钥；或者，若第一接入网设备不能识别待开启的用户面安全保护类型，则第一接入网设备选择默认的用户面安全算法，并确定默认的用户面安全算法对应的用户面密钥。

技术领域

本申请涉及通信技术领域，尤其涉及一种安全保护的方法、装置及接入网设备。

背景技术

在双连接架构中，终端可同时接入主站和从站。在长期演进(long termevolution，LTE)的双连接架构中主站和从站均为第四代(4th generation，4G)网络中的演进节点B(evolved NodeB，eNB或eNodeB)。这种架构中，主站可以表示为master eNodeB或MeNB,从站可以表示为secondary eNodeB或SeNB。类似于LTE，第五代(5th generation，5G)网络也可支持双连接技术。在5G网络的双连接架构中，主站和从站可均为5G网络的下一代基站节点(next generation node basestation，gNB)；或者，主站为5G网络的gNB，从站为4G网络的eNB；或者，主站为4G网络的eNB，从站为5G网络的gNB。

在双连接架构中，网络侧设备可以通过主站和从站向终端发送用户面数据。在4G网络中，是否开启用户面安全保护是固定的，因此，在LTE的双连接架构中，从站是否开启用户面安全保护是确定的。而在5G网络中，可以按需开启用户面安全保护。所以在5G网络的双连接架构中，若5G网络沿用4G的双连接技术，则无法实现对用户面安全保护的按需开启。

发明内容

本申请提供一种安全保护的方法、装置及接入网设备，用以解决现有技术中无法实现对用户面安全保护的按需开启的问题。

第一方面，本申请的实施例提供一种安全保护的方法，该方法应用于双连接的场景，该场景中包括第一接入网设备和第二接入网设备，第一接入网设备为双连接中的从站，第二接入网设备为双连接中的主站，该方法包括：

第一接入网设备接收来自第二接入网设备的第一消息，第一消息携带用户面安全策略，用户面安全策略用于指示：第一接入网设备待开启的用户面安全保护类型；若第一接入网设备能够识别该用户面安全策略，则第一接入网设备根据该用户面安全策略确定用户面安全算法；或者，若第一接入网设备不能识别用户面安全策略，则第一接入网设备根据默认的用户面安全策略确定用户面安全算法。可选地，第一接入网设备还可以确定用户面安全算法对应的用户面密钥。采用该方法，在第一接入网设备可以识别来自第二接入网设备的用户面安全策略的情况下，第一接入网设备可根据来自第二接入网设备的用户面安全策略确定用户面安全算法，实现了用户面安全算法的按需开启，若第一接入网设备不能识别来自第二接入网设备的用户面安全策略，第一接入网设备还可以根据默认的用户面安全策略确定用户面安全算法，保障了第一接入网设备与终端之间传输的用户面数据的安全性。

其中，第一接入网设备可以为SN，SN为双连接或多连接的从站，SN可以是5G基站gNB或4G基站eNB,还可以是non-3GPP接入技术，比如wifi接入技术，固网接入技术；或者non-3GPP接入技术的具有网关功能的网元，如5G网络的N3IWF网元，4G网络的ePDG，或5G固网接入的FMIF。eNB又可以分为增强型的eNB或原始型的eNB，增强型的eNB还可以称为updated eNB,原始型的eNB还可以称为legacy eNB。增强型的eNB是指这个eNB可以识别5GgNB能够识别的信令，也具有5G gNB具有的相关功能，比如，支持Xn接口，并可以识别Xn接口的所有内容；再比如，支持用户面完整性保护，并能够识别安全策略。